Certificados de Assinatura de Código Bloqueados pelo Ataque na Nvidia, Usado para Malware
Os certificados pertencentes à Nvidia que foram roubados como parte do ataque cibernético à fabricante de chips no final de fevereiro de 2022 estão sendo usados para assinar códigos maliciosos, na tentativa de empurrar o malware pelas defesas automatizadas.
Os pacotes maliciosos assinados com os certificados da Nvidia estão sendo usados para visar sistemas baseados no Windows. A Nvidia foi alvo da gangue do Lapsus$ Ransomware no final de fevereiro e os certificados em questão foram exfiltrados como parte do ataque. O volume de resumo do ataque Lapsus$ foi de cerca de 1 TB de dados desviados dos servidores da fabricante de chips.
Certificados Expirados Ainda Aceitos pelo SO
Além dos certificados roubados, o Lapsus$ também conseguiu roubar esquemas, drivers e dados com hash de e-mail e senha de mais de 70 mil funcionários da Nvidia.
Os pesquisadores de segurança foram ao Twitter alguns dias após o ataque inicial, relatando que os mesmos certificados estavam sendo usados para assinar binários que contêm malware. As cargas úteis usando os certificados roubados foram posteriormente identificadas como instâncias do Mimikatz, Cobalt Strike e ferramentas maliciosas de backdoor e acesso remoto.
Mesmo que os certificados roubados da Nvidia tenham expirado, os pesquisadores descobriram que eles ainda podem ser usados para assinar softwares, tais como drivers que seriam implantados facilmente nas máquinas com o Windows.
Will Dormann, analista de vulnerabilidades do CERT, e Kevin Beaumont compartilharam os números de série dos certificados Nvidia mal utilizados, que são os seguintes:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
A Microsoft Oferece Técnicas de Mitigação
O diretor de segurança corporativa e de sistema operacional da Microsoft twittou uma maneira de limitar o que os drivers da Nvidia podem carregar no sistema, mas isso requer ajustes nas configurações das políticas de controle de aplicativos do Windows Defender, o que não é exatamente uma coisa fácil de ser executada pelos usuários em casa, mas ainda deve ser útil para empresas e redes maiores que tenham uma equipe de segurança de TI dedicada.
Como parte do seu ataque à Nvidia, a gangue do Lapsus$ Ransomware exigiu que a fabricante de chips fizesse todos os seus drivers com código aberto, algo que obviamente nunca acontecerá. Os hackers ameaçaram liberar a fonte eles mesmos, mas isso ainda é apenas uma ameaça neste momento.